各县(市、区)人民政府,市直园区管委会,遂潼园区筹委会,市直有关部门,有关企事业单位:
《遂宁市公共数据运营管理办法(试行)》已经市政府八届51次常务会议讨论通过,现印发给你们,请结合实际认真贯彻执行。
遂宁市人民政府办公室
2023年12月26日
遂宁市公共数据运营管理办法(试行)
第一章 总则
第一条 目的依据
为规范遂宁市公共数据运营,确保数据安全、合规使用,有效挖掘并释放公共数据价值,推进数据要素市场化改革,增加政府财政收入,反哺城市数字化建设,促进数字经济发展。根据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《中共中央 国务院关于构建数据基础制度更好发挥数据要素作用的意见》《四川省数据条例》等相关规定,结合工作实际,制定本办法。
第二条 用语含义
本办法所称公共数据运营,是指市级大数据主管部门(遂宁市政务服务和大数据管理局)在市政府的授权下,将国家机关和法律法规授权的具有管理公共事务职能的组织(以下统称“政务部门”)为履行法定职责收集、产生的政务数据,以及医疗、教育、供水、供电、供气、通信、广电网络、文化旅游、体育、交通运输、环境保护等公共企事业单位(以下统称“公共服务组织”)在提供公共服务过程中收集、产生的涉及公共利益的公共服务数据,按照法定程序提供给公共数据运营单位,公共数据运营单位基于特定的需求加工、处理并面向数据使用方提供服务、获取收益的过程。
本办法所称公共数据运营单位,是指经市政府依据相关法律法规授权,并具体承担本市公共数据运营服务的单位(以下简称“数据运营单位”)。
本办法所称共享交换平台,是指由市级大数据主管部门建立并管理的“遂宁市政务数据信息资源共享交换平台”(以下简称“共享交换平台”),该平台主要用于汇聚和共享全市公共数据资源,并提供部分数据的下载和调用服务。
本办法所称市政务云,是指由市级大数据主管部门建立并管理的云资源平台,该平台主要面向党政机关和企事业单位提供计算、存储、安全服务等。
第三条 适用范围
在遂宁市行政区域内,公共数据运营涉及的公共数据运营平台(以下简称“数据运营平台”)建设、数据提供、加工、使用和流通、监督管理和数据安全保障等活动,适用本办法。
第四条 遵循原则
公共数据运营服务应当遵循“统筹协调、集约建设、需求驱动、分级授权使用、安全可控”和“谁使用谁负责,谁运营谁负责”原则,在保障国家安全、社会公共利益,保护公民、法人和其他组织合法权益的前提下,开展市场化运营服务。
第五条 职责分工
市级大数据主管部门负责指导、监督和协调推进本市公共数据运营,编制本市公共数据目录,制定本市公共数据运营服务管理制度规范;负责汇聚各部门数据资源,统一向数据运营平台提供数据资源,并对数据运营平台数据安全保护情况进行检查;负责指导数据运营单位做好企业公共数据需求的收集和治理,推动全市公共数据创新应用,打造应用示范工程,提升数据质量,促进数据流通增值,推进数字经济发展。
各级政府部门和相关企事业单位负责编制本部门(单位)公共数据目录,做好数据治理、数据分类分级,明确数据使用要求,并向共享交换平台集中汇聚数据,根据相关法律法规和文件规定,监督本部门(单位)、本领域公共数据运营工作;政务部门和财政资金保障运行的公共服务组织,为依法履行职责或者提供公共服务所需要的数据,不能通过共享方式获取的,经市级大数据主管部门确认后可以通过采购获取,采购所获数据需按照相关规定全量汇聚至市级大数据主管部门,根据申请再进行共享使用。
数据运营单位负责构建运营场景,采用市场化方式依法依规开展公共数据运营服务,在保护公共利益、数据安全和数据来源者、数据加工使用者、数据产品经营者合法权益的前提下,开展公共数据运营的需求收集、场景构建、系统建设、沟通对接、协调推进、产品运营和服务提供。各级政府部门和相关企事业单位未经批准不得与任何第三方签订数据运营协议,不得以合作开发、委托开发等方式交由第三方承建相关信息系统。各级政府部门和相关企事业单位不得通过项目建设和服务采购等形式,变相运营公共数据。
各县(市、区)政府开展数据运营需按流程报市级大数据主管部门审批;前期已签订的数据运营协议须向市级大数据主管部门报备,视情况研究和协商后,依法依规进行合同变更、合同终止或其他相应措施。
网信、公安、国安、保密等部门依照有关法律、行政法规规定,在各自职责范围内做好公共数据安全监督管理工作。
第二章 平台建设
第六条 平台产生及功能
市级大数据主管部门负责组织推进数据运营平台的建设,作为本市行政区域统一的公共数据授权运营通道和管理平台。
数据运营平台应具备数据需求反馈、分类分级管理、数据质量管理、封装处理、全流程溯源等功能,具有数据传输、存储、加密、数据服务全流程监控、详细日志记录等安全保障能力。应当根据数据提供方和数据使用方需求,做好技术升级、功能迭代和资源扩展,确保数据运营平台具备必要的服务能力。
第七条 前置系统
数据运营平台所包含的前置系统(即与共享交换平台进行数据交换的系统)应统一部署在市政务云上,在保证统一监管、安全运行的前提下,集约使用市政务云计算、存储、安全资源,与互联网逻辑隔离,在保障安全前提下获取公共数据资源支撑运营服务。
第八条 安全要求
数据运营平台须按照《中华人民共和国密码法》《中华人民共和国网络安全法》《四川省数据条例》等法律法规和网络安全等级保护三级标准建设、管理和运维的相关规定,使用商用密码保护网络安全,建立健全运行维护工作制度,采取必要技术措施,保障平台稳定运行、网络安全和数据安全。
第三章 运营管理
第九条 运营方式
市政府授权市级大数据主管部门统一管理和组织公共数据运营实施。通过公共数据运营,市级大数据主管部门、数据提供单位、数据运营单位可获取适当收益。
第十条 数据运营单位选定
有意愿开展公共数据运营的单位,应当在规定时间向市级大数据主管部门提交公共数据运营的书面申请,由市级大数据主管部门对申请公共数据运营的单位进行评估审查,并将评审结果报市政府审定。
有下列情形不得成为运营主体:因违法经营受到刑事处罚或者责令停产停业、吊销许可证或者执照等行政处罚的;企业被列入失信被执行人、重大税收违法案件当事人名单和严重违法失信行为记录名单及其他类似情形的;该单位的相关负责人曾因违法经营受到刑事处罚的。
第十一条 授权运营协议
公共数据授权运营协议是指市级大数据主管部门与数据运营主体就公共数据授权运营具体内容协商后达成书面协议,主要内容包括:相关主体的权利和义务,数据运营的模式、内容、范围、期限、收益分配、数据安全、退出机制等。
第十二条 需求收集
数据运营单位应建立公共数据需求收集整理机制,收集整理公共数据需求情况,明确所需数据内容、使用方式和具体应用场景,对数据需求的合理性、可行性进行初步审核,形成需求清单。
第十三条 数据申请确认
数据运营单位向市级大数据主管部门提交公共数据需求清单,市级大数据主管部门在收到需求清单后对所需数据、使用方式和应用场景进行评估,并征求数据提供方意见后,统一提出是否同意提供数据资源的意见。
对于应用场景中已合法取得信息主体(公民本人或企业组织)授权的情况下,原则上应同意提供数据运营服务。
无条件开放的数据资源,全部纳入运营范畴;法律法规明确规定不允许纳入运营的数据资源,不纳入运营范畴。
第十四条 数据利用
市级大数据主管部门按照数据服务接口、数据联合建模计算等方式集中向数据运营平台提供数据资源。
数据运营单位应当与数据使用方签订数据利用协议,明确数据利用的范围条件、责任和具体要求,采取数据汇聚、清洗、脱敏、格式转换等技术措施,在确保公共数据安全前提下,按照协议约定方式使用公共数据;数据运营单位应定期向市级大数据主管部门报告运营情况,并根据监管工作要求报送其他相关专项报告。
数据使用方利用公共数据创新开展科技研究、咨询服务、产品开发、智慧应用等活动,形成数据产品、研究报告、学术论文等成果的,应当在成果中注明数据来源,并向数据运营单位反馈数据使用情况。
数据使用方应当遵循合法、正当的原则利用公共数据,不得损害国家利益、社会公共利益和第三方合法权益。
第十五条 授权管理
公共数据授权运营协议有效期原则上为2年。数据运营单位在协议有效期满前3个月,需向市级大数据主管部门重新申请数据运营资格。市级大数据主管部门原则上不得随意终止已授权运营数据,对确需终止授权的数据,应提供相应依据,正式通报数据运营单位。
第四章 监督管理
第十六条 运营监督
数据运营单位应对数据运营平台上数据的存储、传输、利用等环节建立透明化、可记录、可审计、可追溯的全过程管理机制,形成公共数据使用的全程记录,并将日志数据提供给市级大数据主管部门。
市级大数据主管部门不定期对数据运营平台的数据使用日志和安全保护情况进行检查,检查到有影响数据安全的行为时,市级大数据主管部门有权暂停提供数据。待问题整改完成后,重新恢复提供数据。
数据运营单位应定期将运营服务、数据交互、数据使用情况报涉及的有关行业主管部门。
第五章 数据安全
第十七条 安全责任
公共数据运营实行数据安全责任制。数据提供方负责本单位到共享交换平台之间的数据安全,市级大数据主管部门负责共享交换平台到数据运营平台之间的数据安全,数据运营单位负责数据运营平台和数据使用方之间的数据安全,数据使用方负责数据使用过程及结果的安全。各方按照“统筹协调、集约建设、需求驱动、分级授权使用、安全可控”和“谁使用谁负责,谁运营谁负责”原则,落实数据安全责任,确保数据安全。
数据运营单位应当设立首席数据官,并明确具有相关工作经历和数据安全专业知识的人员担任数据安全责任人,共同参与数据运营相关重要决策,具体落实数据运营单位实施数据运营全过程的安全责任。
数据运营单位应当加强网络安全和数据安全管理统筹规划,强化制度建设、经费投入、技术保障、人员管理,确保数据运营平台建设与安全保护同步规划、同步建设和同步使用。
第十八条 制度建设
数据提供方、市级大数据主管部门、数据使用方应根据各自在公共数据运营过程中的安全责任,依据《中华人民共和国数据安全法》建立相应的数据安全管理制度,确保数据安全。
数据运营单位应当建立健全数据安全管理制度,落实数据安全管理责任制,严格开展数据跨境安全管理,实施数据安全技术防护,加强权限管理,组织开展数据安全教育和培训。
数据运营单位应当建立健全公共数据开发利用日常监测、安全测评、风险评估、安全审查等机制,确保各参与主体在公共数据管理、需求审核、开发利用、技术支撑等全流程安全可控。
数据运营单位应当建立合规管理机制,对数据存储、传输、使用等全流程进行合规管理,定期进行合规评估,对公共数据产品和服务进行合规性审查。
第十九条 风险防范
数据运营单位、数据使用方应当制定数据安全事件应急处置预案,发生数据泄露、毁损、丢失等数据安全事件或重大风险时,应当立即启动数据安全事件应急处置预案,并向市级大数据主管部门报告。
数据运营单位应当加强对数据使用方、第三方及相关人员的安全监管,保障公共数据产品和服务合法合规安全应用,防止违规使用、转卖、泄露或其他不当应用情况发生。数据运营单位发现上述情况的,应该采取暂停、终止合作等措施避免损失扩大。
数据运营单位、数据使用方应当遵守相关法律法规和规章制度,建立个人信息授权使用机制,并通过必要的技术防控措施,加强对信息主体和第三方合法权益的保护,防止国家秘密、商业秘密和个人隐私被泄露、非法获取或者不当利用。
市级大数据主管部门应当会同同级有关部门建立健全监督机制,加强对数据运营平台、数据产品和服务、数据管理等安全合规情况的监督检查,并督促整改落实。
第六章 评估和退出机制
第二十条 运营评估机制
市级大数据主管部门每年组织对公共数据运营情况进行评估。数据提供方、数据使用方对数据运营单位评价情况纳入评估内容;评估标准由市级大数据主管部门另行制定。
数据运营单位应当配合有关部门做好安全保障、绩效评价等评估工作,如实提供有关资料,不得拒绝、隐匿、瞒报。
第二十一条 评估结果运用
评估结果分为:通过评估、限期整改、未通过评估。
若评估结果为通过评估,则由数据运营单位继续承担公共数据运营工作。
若评估结果为限期整改,数据运营单位应当制定整改方案,于30日内整改完成,报市级大数据主管部门再次评估。若评估结果仍为限期整改,按未通过评估办理。
若评估结果为未通过评估,则由市级大数据主管部门向市政府反馈评估结果,建议数据运营单位退出运营工作。由市政府重新批准符合条件的单位承担本市公共数据运营工作。
第七章 附则
第二十二条 争议解决
数据提供方与数据运营单位之间对公共数据授权和利用有争议的,由市级大数据主管部门协调解决,必要时委托第三方咨询机构提出评估意见。
第二十三条 责任追究
各级政府部门和相关企事业单位及其工作人员有下列行为的,由市级大数据主管部门责令整改;逾期未完成整改的,由市级大数据主管部门报市政府纳入督查督办事项并责令整改;情节严重或造成严重损害结果的,由相关部门进一步介入调查。
(一)不积极开展数据运营工作,或对已经确定开展数据运营场景所需数据共享不配合、不支持的;
(二)未经许可将本部门数据资源开放给第三方或授权第三方进行运营的;
(三)违法违规泄露公共数据资源的;
(四)其他滥用职权、玩忽职守、徇私舞弊的行为。
数据运营单位有下列行为之一的,由市级大数据主管部门责令整改;逾期未完成整改的,市级大数据主管部门有权关闭数据通道,下架相关数据产品;情节严重或造成严重损害结果的,由相关部门进一步介入调查。
(一)未严格执行运营项目审批确定的运营范围和类型,超过授权范围使用数据的;
(二)未按运营要求加工数据产品及服务的;
(三)数据产品未经审批发布的;
(四)将授权运营的公共数据提供给非本项目的其他数据运营单位的;
(五)违反其他运营产品定价、公平交易等相关规定的;
(六)对于涉及个人信息或企业法人的数据产品或服务,未取得个人或企业法人授权的;
(七)存在其他违规加工操作的。
第二十四条 执行时间和解释权
本政策自2024年2月1日起施行,有效期2年。本办法由市政府办公室负责解释。